Seite 2: Öffentlicher Warnschuss

Inhaltsverzeichnis

Es stellt sich daher die Frage, wie viele solcher Unterwanderungen in Firmen und FLOSS-Projekten bereits erfolgreich waren und wie viele Schwachstellen dadurch eingebaut wurden und ausnutzbar sind. Insofern sollte dieser Vorfall ein Anlass für alle sein, die an Softwareentwicklungsprojekten beteiligt sind, über solche Möglichkeiten zu reflektieren und Maßnahmen umzusetzen, solche Risiken zu minimieren. Dazu gehören sowohl eine erhöhte Sensibilität gegenüber Social Engineering als auch technische Maßnahmen.

Auch hier stellen bei öffentlichen FLOSS-Projekten die inhärenten Eigenschaften der Transparenz organisatorischer Vorgänge, der technischen Prozesse und der eigentlichen Software einen enormen Vorteil dar: So kann jeder Interessierte entsprechende Analysen vornehmen (das ist die erste Freiheit Freier Software) und Analysewerkzeuge lassen sich auf eine Vielzahl von FLOSS-Projekten anwenden.

Aber bislang sind es meist einzelne Personen wie Andres Freund, der Entdecker der XZ-Backdoor, oder kleine Security-Teams, die auffälliges Verhalten von Software mit großem manuellen Aufwand erforschen und dabei manchmal auf sicherheitsrelevante Sachverhalte treffen. Damit ist zwar ein großer Reputationsgewinn für diese Personen und Teams verbunden, aber diese Prozesse skalieren nicht: Es ist unmöglich, auf diese Art und Weise signifikante Mengen der zahlreichen, immer mehr werdenden und ständiger Veränderung unterliegenden FLOSS-Komponenten zu untersuchen.

Daher braucht es wesentlich mehr Werkzeuge zur weitgehend automatisierten und kontinuierlichen Untersuchung von großen Mengen an FLOSS wie Googles „OSS Fuzz“-Projekt, das eines der wenigen existierenden Beispiele ist. Ein solches Werkzeug zu erstellen und zu betreiben benötigt zwar auch personelle Ressourcen, die aber wesentlich effizienter sind als manuelle Einzeluntersuchungen. Nationale und europäische Stellen sollten entsprechende Projekte initiieren und deren Betrieb dauerhaft gewährleisten, um dieses Feld nicht völlig US-amerikanischen Konzernen zu überlassen, wie es momentan der Fall ist.

Auch braucht es Analysewerkzeuge mit unterschiedlichen Funktionsweisen, damit sie sich beim Erkennen von Auffälligkeiten ergänzen. Man sollte hierbei nicht nur an die Software an sich denken. Gerade öffentliche FLOSS-Projekte ermöglichen, auch die Prozesse zum Erstellen von Software zu untersuchen, beispielsweise neuartige Werkzeuge zur Anomalie-Erkennung des Verhaltens von Beitragenden, um auf näher zu untersuchende Ereignisse hinzuweisen.

Letztlich braucht es Teams, die sowohl solche automatisiert erstellten Analysen auswerten, zusammenfassen, bewerten und den betroffenen FLOSS-Projekten melden, als auch diese Projekte dabei unterstützen, auf Sicherheitsvorfälle sinnvoll zu reagieren. Da sich diese Arbeiten kaum so umsetzen lassen, dass sie dauerhaft einen finanziellen Gewinn bringen, ist auch hierfür eine dauerhafte staatliche Unterstützung notwendig, um die Sicherheit im FLOSS-Ökosystem nachhaltig zu erhöhen. Schließlich erzielen Firmen mit auf der Basis kostenlos bezogener Free/Libre Open Source Software alleine in der EU jährlich Milliarden von Euro Gewinn. Geeignete Organisationen, die diese Aufgaben übernehmen, existieren teilweise bereits, beispielsweise der Sovereign Tech Fund in Deutschland oder NLnet in den Niederlanden.

Verwendete Quellen und weiterführende Informationen

“Everything I know about the XZ backdoor“ von Evan Boehs

"FAQ on the XZ Utils backdoor (CVE-2024-3094)“ von Sam James

XZ Backdoor Analysis and symbol mapping (in every technical detail)

Florian v. Samson
beschäftigt sich seit 1989 mit UNIX-Betriebssystemen und seit 1990 mit Freier Software (FLOSS); anfangs während seines Studiums der Elektrotechnik, das er mit dem Master abschloss, später auch beides im beruflichen Kontext. Seit Ende der 1990er Jahre kümmert er sich auch um die gesellschaftlichen, juristischen und wirtschaftlichen Aspekte Freier Software und befördert Diskussionen dazu, unter anderem im Rahmen des LinuxTag. Anfang der 2000er Jahre kamen als zusätzliche Aspekte die Sicherheit von und mit FLOSS hinzu. Dadurch verfügt Florian v. Samson über ein umfassendes Wissen zu technischen und nicht-technischen Aspekten von FLOSS.

(rme)